1

OAMMSセキュリティプラグインの概要およびOAAMとTAP統合

Oracle Asia Research and Development Center

Alice Liu（lzhmails@gmail.com)

2013/04/09

2 Copyright © 2012, Oracle and/or its affiliates. All right

テーマ

Access ManagerとOracle Adaptive Access ManagerのTAP統合

動作検証の準備

OAMMSセキュリティプラグインの概要

OAAMとの統合ユースケース

3 Copyright © 2012, Oracle and/or its affiliates. All right

Oracle Access Management Mobile and Social

未像：モバイル・ソーシャル・ネットワークが社会を変える

OAMMSセキュリティプラグインの概要

4 Copyright © 2012, Oracle and/or its affiliates. All right

OAMMSセキュリティプラグインって何？

主にモバイルユースケースのために設計されるが、

非モバイルユースケースで使用することもできる

1. モバイルへのアクセスをコントロール

2. 追加ユーザーの認証

3. デバイスワイプアウトを通知

5 Copyright © 2012, Oracle and/or its affiliates. All right

Access ManagerとOracle Adaptive Access ManagerのTAP統合

Access ManagerとOAAMとのTAP統合では、OAAMサーバーが信頼できるパートナ・アプリケーションとして動作します。OAAMサーバーは厳密認証、 リスクおよび不正分析の実行後にTrusted Authentication Protocol (TAP)を使用して認証済のユーザー名をOAMサーバーに送信し、OAMサーバーは保護されたリソースへリダイレクトする役割を果たします。

統合の要件

6 Copyright © 2012, Oracle and/or its affiliates. All right

Access ManagerとOracle Adaptive Access ManagerのTAP統合

検証した製品のバージョン情報

OHS 11.1.1.6

Webgate 11.1.2.1

Oracle DB 11.2.0.3

OAM+OAAM 11.1.2.1

Weblogic 10.3.6

7 Copyright © 2012, Oracle and/or its affiliates. All right

Access ManagerとOracle Adaptive Access ManagerとのTAP統合フロー

コンポーネントがインストール

Access ManagerとOAAMの管理コンソールおよび管理対象サーバーが実行されていることを確認

OAAM管理ユーザーを作成

OAAMベース・スナップショットをインポート

Oracle Access Managementコンソールに正常にログインでき

る必要

OAAMが正しく設定されたこと

Webゲートエージェントを登録

OAAMサーバーを信頼できるパートナ・アプリケーションとして動作するように

Access Managerに登録

エージェント・パスワードを追加

Oracle Access Managementテスターを使用してTAPパートナ登録

を検証

IAMSuiteAgentを更新

OAAMでTAP統合プロパティを設定

１

2

３

４

5

6

７

８

９

10

11

12

8 Copyright © 2012, Oracle and/or its affiliates. All right

統合後、保護されたリソースへリダイレクトするログイン・フロー

9 Copyright © 2012, Oracle and/or its affiliates. All right

Oracle Mobile and Social Access Management

未像：モバイル・ソーシャル・ネットワークが社会を変える

動作検証の準備

10 Copyright © 2012, Oracle and/or its affiliates. All right

動作検証の準備１：OAAM管理ユーザーおよびOAAMグループの作成

OAAM管理コンソールを保護する場合

外部LDAPストアでユーザーおよびグループの作成を処理する必要（idmConfigToolコマンドの使用）

OAAM管理コンソールを保護しない場合

WebLogic管理コンソールで管理ユーザーを作成する必要

11 Copyright © 2012, Oracle and/or its affiliates. All right

動作検証の準備１：OAAM管理ユーザーおよびOAAMグループの作成

WebLogic管理コンソールで管理ユーザーの作成 ◎WebLogic管理コンソールにログイン

◎「ドメイン構造」->「セキュリティ・レルム」を選択

◎「セキュリティ・レルムのサマリー」ページで、myrealmを選択

◎「レルム名」→「設定」→「ユーザーとグループ」→「ユーザー」→「新規」

◎「グループ」タブをクリック

◎ OAAMキーワードのあるグループをすべて、ユーザーに割り当てます。

◎グループを左(使用可能)から右(選択済)に移動 ->「保存」

OAAMEnvAdminGroup

OAAMRuleAdministratorGroup

……

OAAM関連グループ

12 Copyright © 2012, Oracle and/or its affiliates. All right

動作検証の準備２：OAAM_SERVER_DSにターゲットoam_server1を追加

WebLogin管理コンソールを使用してOAAM_SERVER_DSにターゲットoam_server1を追加

WebLogic管理コンソールにログイン->サービス->データ・ソース->OAAM_SERVER_DSを選択->ターゲットタブをクリック->oam_server1を選択->保存

13 Copyright © 2012, Oracle and/or its affiliates. All right

ユースケースのチェックポイントとアクショングループの概要

チェックポイント アクショングループ

14 Copyright © 2012, Oracle and/or its affiliates. All right

Oracle Mobile and Social Access Management

未像：モバイル・ソーシャル・ネットワークが社会を変える

OAAMとの統合ユースケース

15 Copyright © 2012, Oracle and/or its affiliates. All right

OAAMとの統合ユースケース１，２のイメージ

未像：モバイル・ソーシャル・ネットワークが社会を変える

モバイルデバイス管理

デバイス登録のスタイル：

パッシブ（R2でサポート）（将来的には他のスタイル：アクティブ、管理）

デバイスプロファイル/フィンガープリント

ユーザーID、デバイスID/プロファイル、クライアントアプリケーションIDの管理

その他の機能

デバイスのホワイトリスト、またはブラックリスト

16 Copyright © 2012, Oracle and/or its affiliates. All right

ユースケース１：デバイスをブラック

チェックポイント/ポリシー/ルール/アクショングループ

チェックポイント：ポスト認証

ポリシー：OAAMポスト認証セキュリティ

ルール：モバイルデバイスをブラック

デバイスグループ：OAAMブラック・リストに記載されたモバイル・デバイス

アクション：OAAMでモバイルデバイスをブラック

アラート： OAAMブラック・リストに記載されたモバイル・デバイスの使用

予想出力

"message":"Black Listed Mobile Device Rule is triggered ",

"oicErrorCode":"IDAAS-62005",

"status":"WIPE_OUT"

17 Copyright © 2012, Oracle and/or its affiliates. All right

ユースケース１：デバイスをブラック 配置手順

18 Copyright © 2012, Oracle and/or its affiliates. All right

ユースケース１：デバイスをブラック 配置手順

19 Copyright © 2012, Oracle and/or its affiliates. All right

ユースケース１：デバイスをブラック

未像：モバイル・ソーシャル・ネットワークが社会を変える

20 Copyright © 2012, Oracle and/or its affiliates. All right

ユースケース２：盗難・紛失でOAAMデバイスの管理

チェックポイント/ポリシー/ルール/アクショングループ

チェックポイント：ポスト認証

ポリシー：OAAMポスト認証セキュリティ

ルール：盗難・紛失でデバイス

デバイスグループ：盗難・紛失でOAAMデバイス

アクション：紛失したOAAMデバイスを追加

アラート：盗難・紛失でOAAMデバイス

予想出力

"message":"Lost or Stolen Device Rule is triggered", "oicErrorCode":"IDAAS-62006",

"status":"WIPE_OUT"

21 Copyright © 2012, Oracle and/or its affiliates. All right

ユースケース2：盗難・紛失でOAAMデバイスの管理 配置手順

22 Copyright © 2012, Oracle and/or its affiliates. All right

ユースケース２：盗難・紛失でOAAMデバイスの管理

未像：モバイル・ソーシャル・ネットワークが社会を変える

23 Copyright © 2012, Oracle and/or its affiliates. All right

ユースケース３：アプリケーションをブラック

チェックポイント/ポリシー/ルール/アクショングループ

チェックポイント：ポスト認証

ポリシー：OAAMポスト認証セキュリティ

予想出力

"message":"The Denied Action is triggered", "oicErrorCode":"IDAAS-61009",

"status":"DENIED"

24 Copyright © 2012, Oracle and/or its affiliates. All right

ユースケース3：アプリケーションをブラック 配置手順

25 Copyright © 2012, Oracle and/or its affiliates. All right

ユースケース４：セッション情報の確認

• OAAMセッションテーブルに重要なコラム

• セッションID、ユーザネーム、ディバイスID、ディバイスタイプ、クラインアウトアプリケーション ネーム

• 認証ステータス、セッション日、認証後アクション（許可、チャレンジ、ブロック）

• 詳しくは下記ページをご参照

26 Copyright © 2012, Oracle and/or its affiliates. All right

ユースケース４：セッション情報の確認

未像：モバイル・ソーシャル・ネットワークが社会を変える

27 Copyright © 2012, Oracle and/or its affiliates. All right

ユースケース４：セッション情報の確認

28 Copyright © 2012, Oracle and/or its affiliates. All right

ユースケース5：アクセス管理とリスクベース認証の統合

アクセスパターンと履歴の収集

アクセスパターン

1. リスク＞閾値、KBAチャレンジ、またはOTPチャレンジ

2. リスク＞＞閾値（間違ったパスワード何度も試行）、ブラックリスト、またはユーザ/デバイスを両方ブロック

OTPとKBAは一緒に使用できる。OTP は、KBAチャレンジを補完するために使用することも、KBAのかわりに使用することもできる。

29 Copyright © 2012, Oracle and/or its affiliates. All right

ユースケース5-1： KBA（ Knowledge Base Authentiation）チャレンジ

ユーザーは、KBAの質問を設定するOAAM管理下サーバーのコンソールを使用することもできる。

設定流れは39.9.2.6.1 Setting up OAAM Knowledge-Based Authenticationをご参照

30 Copyright © 2012, Oracle and/or its affiliates. All right

ユースケース5-2： OTP(One Time Password) チャレンジ

設定流れは39.9.2.6.3 Setting Up OTP E-Mail Integrationをご参照

OTP By Email

OTP By SMS

設定流れは39.9.2.6.4 Setting Up OTP Integration for SMS Messagesをご参照

31

Q&A ありがとうございました。

Blog: http://lzhairs.blogspot.jp

E-mail: lzhmails@gmail.com

32

参考資料 • http://docs.oracle.com/cd/E37115_01/admin.1112/e27239/oicconfiguringmobilesrvcs.htm#B

EIFHCBF

• Overview of OIC Security Plug-in and OAAM Integration

• http://docs.oracle.com/cd/E37472_01/admin.1112/b70199/chquest.htm

• http://docs.oracle.com/cd/E37472_01/admin.1112/b70199/groups.htm

• http://docs.oracle.com/cd/E37472_01/admin.1112/b70199/part_kba.htm

• http://docs.oracle.com/cd/E37115_01/index.htm

• http://docs.oracle.com/cd/E37115_01/admin.1112/e27207/intro.htm#autoId8

• OAAM+OIC+Integration+Documentation

33

関連用語集&外部リンク

・ SMTP：Simple Mail Transfer Protocol（シンプル メール トランスファー プロトコル）または簡易メール転送プロトコルは、インターネットで電子メールを転送するプロトコルである。通常 TCP のポート番号 25 を利用する。 転送先のサーバを特定するために、DNSの MXレコードが使われる。RFC 5321 で標準化されている。

・ KBA Knowledge Base Acceleration ナレッジベース認証

･ OTP One Time Password ワンタイムパスワード

、 コンピューターのアカウントのようにアクセス制限されたリソースに対して未承認アクセスすることをより困難にすることにある。従来の固定パスワードによるアクセス制限では、十分な機会と時間を与えられた承認を受けない侵入者にとっては容易にアクセスしうる。定期的にパスワードを変更することで、それもワ ンタイムパスワードを利用することで、こうしたリスクは大幅に低減する。

34

関連用語集&外部リンク

・ 認証(Authentication, Authn)

・ 承認(認可, Authorization, Authz)

・ 認証と認可の違い

• http://www.itmedia.co.jp/enterprise/articles/0804/22/news044.html

• http://msdn.microsoft.com/ja-jp/library/bb263941%28VS.85%29.aspx

• au・then・ti・ca・tion [aw thent kaysh'n] 名詞: (認証)

個人やプロセスの身元の確認。

• au・thor・i・za・tion [awthr zaysh'n ] 名詞: (承認)

何かを行う、またはある場所に存在することを、誰かに許可を与えること。

35

36